Les pirates ont trouvé un moyen de contrer les codes de vérification d'accès reçus par SMS. Leurs attaques deviennent plus faciles et moins coûteuses.
Pendant le week-end de Pâques, nous avons appris que plus d'un demi-milliard (533 millions) de données personnelles d'utilisateurs de Facebook, y compris des numéros de téléphone, ont été divulguées en ligne. Facebook a lui-même confirmé la fuite en disant que c'était le résultat d'une vulnérabilité qu'ils ont corrigée en 2019.
Bien que la vulnérabilité et le vol remontent à près de deux ans, cet événement signifie que les utilisateurs de Facebook dont les données ont été volées en 2019 sont plus à risque maintenant en raison de la fuite et devraient prendre des mesures dès aujourd'hui pour mieux s'en protéger.
19 848 559 utilisateurs touchés en France
Les rapports indiquent que les données comprennent : des numéros de téléphone, des identifiants Facebook, des noms complets, des lieux, des anniversaires, des informations biographiques et certaines adresses électroniques pour des utilisateurs du monde entier. Une liste du nombre d'utilisateurs de chaque pays concernés peut être consultée ici.
La perte des numéros de téléphone associés aux courriels est particulièrement inquiétante. Il y a de fortes chances que pour de nombreuses personnes, la combinaison numéro de téléphone/adresse électronique soit la même que celle utilisée pour les codes SMS permettant de se connecter à ces mêmes comptes de messagerie. Cela signifie que ces utilisateurs courent un risque accru de voir des attaquants tenter un « échange de cartes SIM » pour rediriger les codes SMS vers des appareils sous leur contrôle et accéder à la messagerie électronique de la cible. Étant donné que les comptes de messagerie sont les endroits où les réinitialisations « J'ai oublié mon mot de passe » sont effectuées, il s'agit du moyen le plus simple et le plus efficace pour les attaquants de prendre le contrôle de votre vie numérique en détournant d'abord votre compte de messagerie, puis en l'utilisant pour prendre le contrôle de vos autres comptes.
Les attaques par « échange de cartes SIM » sont de plus en plus fréquentes. Elles sont également de plus en plus faciles à mettre en œuvre.
Facebook n'a pas informé les utilisateurs dont les données ont été volées et il n'existe aucun moyen simple et sûr de savoir si vous avez été touché. Pour cette raison, si vous aviez un compte Facebook en 2019, vous devez supposer que vos données ont été perdues et prendre des mesures pour mieux vous protéger.
La meilleure chose que vous puissiez faire pour vous protéger est de faire passer immédiatement votre compte de messagerie d'un mot de passe unique (ou d'un mot de passe et de codes par SMS), à l'utilisation d'une app d'authentification comme celles proposées par Microsoft et Google. L'utilisation d'une application d'authentification peut atténuer le risque d'échange de cartes SIM : votre numéro de téléphone portable ou de SMS n'entre plus en ligne de compte. Vous pouvez utiliser l'un ou l'autre de ces authentificateurs pour votre messagerie électronique ainsi que pour la plupart des autres applications et services qui prennent en charge les applications d'authentification. Ainsi, dans la plupart des cas, vous n'avez besoin que d'une seule application d'authentification pour tous vos comptes (pas seulement pour la messagerie électronique).
Il existe également d'autres risques, notamment les tentatives de phishing par SMS, parfois appelées « SMishing ». Là encore, comme votre nom et votre adresse électronique sont associés à votre numéro de téléphone, il peut être plus facile pour les pirates de savoir comment vous cibler avec ce type de messages de phishing. En outre, il est plus difficile de distinguer les faux messages des messages légitimes, car les SMS contiennent très peu d'informations.
Au minimum, vous devriez faire preuve d'une prudence accrue à l'égard des SMS que vous recevez après cette fuite de données.
Si vous êtes quelqu'un qui pourrait être une cible de plus grande valeur pour les attaquants - comme un politicien, un employé du gouvernement ou un membre de la police ou de l'armée - et que vous avez toujours le même numéro qu'en 2019, vous devriez envisager de changer votre numéro de téléphone et de mettre en place toutes les protections contre les changements de numéro et les changements de SIM avec votre opérateur que vous pouvez. Les personnes qui sont des cibles particulièrement précieuses peuvent vouloir avoir pour habitude de changer régulièrement de numéro de téléphone cellulaire (mais pas selon un calendrier prévisible). Il est intéressant de noter que les services secrets des États-Unis auraient procédé de la sorte pour le président de l'époque, Donald Trump, par mesure de sécurité, car il utilisait régulièrement des téléphones portables commerciaux.
Le passage à une application d'authentification est une pratique de plus en plus recommandée dans la communauté de la sécurité, car les attaquants ont trouvé des moyens de contrer efficacement les codes basés sur les SMS et leurs attaques deviennent plus faciles et moins coûteuses. À ce stade, la question est de savoir « quand » et non pas « si » les gens abandonnent les codes par SMS au profit des applications d'authentification. La dernière violation importante des données de Facebook peut et doit inciter de nombreuses personnes à le faire le plus tôt possible.
NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com
Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.